Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Windows Update Manager' = '%APPDATA%\WindowsUpdate\VGA.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe,%APPDATA%\WindowsUpdate\VGA.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Taskman' = '%APPDATA%\WindowsUpdate\VGA.exe'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\WindowsUpdate\VGA.exe
Сетевая активность:
Подключается к:
- 'any':1680
- 'any':5681
- 'gr####.entggmuq.ru':7836
- 'any':7836
UDP:
- DNS ASK gr####.jvibgsez.ru
- DNS ASK gr####8.plerwqeg.ru
- DNS ASK gr####1.jvibgsez.ru
- DNS ASK gr####0.jvibgsez.ru
- DNS ASK gr####4.plerwqeg.ru
- DNS ASK gr####7.plerwqeg.ru
- DNS ASK gr####9.plerwqeg.ru
- DNS ASK gr####6.plerwqeg.ru
- DNS ASK gr####9.jvibgsez.ru
- DNS ASK gr####4.jvibgsez.ru
- DNS ASK gr####8.jvibgsez.ru
- DNS ASK gr####6.jvibgsez.ru
- DNS ASK gr####5.jvibgsez.ru
- DNS ASK gr####3.jvibgsez.ru
- DNS ASK gr####7.jvibgsez.ru
- DNS ASK gr####2.jvibgsez.ru
- DNS ASK gr####2.plerwqeg.ru
- DNS ASK gr####2.entggmuq.ru
- DNS ASK gr####5.entggmuq.ru
- DNS ASK gr####4.entggmuq.ru
- DNS ASK gr####7.entggmuq.ru
- DNS ASK gr####0.entggmuq.ru
- DNS ASK gr####.entggmuq.ru
- DNS ASK gr####3.entggmuq.ru
- DNS ASK gr####1.entggmuq.ru
- DNS ASK gr####1.plerwqeg.ru
- DNS ASK gr####0.plerwqeg.ru
- DNS ASK gr####5.plerwqeg.ru
- DNS ASK gr####3.plerwqeg.ru
- DNS ASK gr####6.entggmuq.ru
- DNS ASK gr####9.entggmuq.ru
- DNS ASK gr####.plerwqeg.ru
- DNS ASK gr####8.entggmuq.ru
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
